Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

JYR

Interpretation rapport hijackthis

Messages recommandés

bonjour,

 

j'ai besoin d'un petit coup de main. au demarrage du PC j'ai une fenêtre d'avertissement AVAST me disant "Il y a trop de mails identiques envoyés dans un faible intervalle de temps".

 

je suis venu sur le forum et j'ai donc demarrer seul la première etape en telechargeant Hijackthis et en recupérant la LOG.

mais maintenant, AU SECOURS...!

 

je joints donc celle-ci afin d'avancer avaec vos conseils dans cette désinfection.

 

merci d'avance de votre aide.

 

Logfile of HijackThis v1.99.1

Scan saved at 23:22:59, on 26/12/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Telecom Italia France\Securite Enfants\bin\optproxy.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\renaud\Bureau\hijackthis\Scanner.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 7\SnagItBHO.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {099D0986-C204-F967-3343-00A64FA96FB9} - C:\Documents and Settings\renaud\Local Settings\Application Data\vorenbj.dll

O2 - BHO: (no name) - {1868A450-F96E-A05B-FDEA-0ABA9563CF80} - C:\WINDOWS\system32\sqjuaad.dll

O2 - BHO: (no name) - {188B7381-B2B2-7E63-98A8-001078AFDAFD} - C:\WINDOWS\system32\shnpglm.dll

O2 - BHO: (no name) - {23E26EF9-12B1-8E3B-185C-078901D327DC} - C:\WINDOWS\system32\sruepml.dll

O2 - BHO: (no name) - {243A5983-67F7-1C4B-8E81-026B75BEBD6D} - C:\WINDOWS\system32\xfyasog.dll

O2 - BHO: (no name) - {26B61245-2471-3859-3126-04487DAC7F8A} - C:\WINDOWS\system32\ipnydgh.dll

O2 - BHO: (no name) - {35F7813A-AF74-4474-B1DC-7EE6FB6C43C6} - C:\WINDOWS\system32\mboauuht.dll

O2 - BHO: (no name) - {3FD6B99C-A275-46ea-8FD1-3D63986E51E4} - C:\WINDOWS\system32\ewbfpkel.dll (file missing)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {5EF198B3-25AC-B0A8-38FF-00F31C1B9021} - C:\WINDOWS\system32\zjymtln.dll

O2 - BHO: (no name) - {5F8482AC-DAF0-5494-F020-0A90E3DA0CDC} - C:\WINDOWS\system32\mjyyobb.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {BD8DEAB0-C380-4E75-A74B-0BA3A580C320} - C:\WINDOWS\system\ewbibn.dll

O2 - BHO: (no name) - {BF993D90-555B-403D-9928-3CE79C97DC0d} - C:\WINDOWS\system32\kbcyddvo.dll

O2 - BHO: (no name) - {C671A733-A4AA-4B5F-8CEE-006242C457B5} - C:\WINDOWS\system32\urqpmll.dll

O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 7\SnagItIEAddin.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [namxptj.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\namxptj.dll,ajvmkw

O4 - HKLM\..\Run: [mmjvho.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\mmjvho.dll,qofuvwf

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [vvdkkpe.dll] C:\WINDOWS\system32\rundll32.exe "C:\Documents and Settings\renaud\Local Settings\Application Data\vvdkkpe.dll",agkxvbc

O4 - HKLM\..\Run: [sruusxm.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\sruusxm.dll,nsrxhv

O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\system32\rtrwtmed.dll",setvm

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: .protected

O4 - Global Startup: .protected

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: ewbibn - C:\WINDOWS\system\ewbibn.dll

O20 - Winlogon Notify: hdvferrw - C:\WINDOWS\SYSTEM32\hdvferrw.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: urqpmll - C:\WINDOWS\SYSTEM32\urqpmll.dll

O20 - Winlogon Notify: wintuh32 - C:\WINDOWS\SYSTEM32\wintuh32.dll

O21 - SSODL: cussers - {ff170564-36c8-43f7-9100-559e166405cf} - (no file)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Sécurité Enfants (OPTENET_FILTER) - Telecom Italia France - C:\Program Files\Telecom Italia France\Securite Enfants\bin\optproxy.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Partager ce message


Lien à poster
Partager sur d’autres sites

bonjour JYR et bienvenue sur zebulon :P

 

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

  • Double-clique VundoFix.exe afin de le lancer
  • Clique sur le bouton Scan for Vundo
  • Lorsque le scan est complété, clique sur le bouton Remove Vundo
  • Une invite te demandera si tu veux supprimer les fichiers, clique YES
  • Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  • Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  • Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour Bruce Lee,

 

je refais surface après pas mal de problèmes de redemarrage j'en passe et des meilleures.

 

bref j'ai suivi tes conseils, mais les messages "il y a trop de mails..." subsistent et d'autres fenêtres viennent grossir le nombre des casse-pieds (me proposant l'acquisition d'un logiciel antispyware). De plus, et j'avais omis d'en parler lors de mon premier message j'ai réguliérement des processus du style win1.tmp.exe dans le gestionnaire de tâche et la création de fichiers winxx.tmp en grand nombre dans c:\windows\temp. sinon à part ça... tout va bien comme tu peux le constater.

 

pour info, j'utilise AVAST / SPYBOT / ADWARE

 

je te joins comme convenu les différentes log

 

 

VundoFix V6.2.13

 

Checking Java version...

 

Sun Java not detected

Scan started at 21:28:10 27/12/2006

 

Listing files found while scanning....

 

C:\WINDOWS\system32\asjwvkf.dll

C:\WINDOWS\system32\lhstnbj.dll

C:\WINDOWS\system32\sqjuaad.dll

C:\WINDOWS\system32\sruusxm.dll

C:\WINDOWS\system32\wintuh32.dll

C:\WINDOWS\system32\xfyasog.dll

C:\WINDOWS\system32\jpnicohr.exe

C:\WINDOWS\system\ewbibn.dll

C:\WINDOWS\system\nbibwe.ini

C:\WINDOWS\system\nbibwe.bak1

C:\WINDOWS\system\nbibwe.bak2

C:\WINDOWS\system\nbibwe.ini2

C:\WINDOWS\system\nbibwe.tmp

 

Beginning removal...

 

Attempting to delete C:\WINDOWS\system32\asjwvkf.dll

C:\WINDOWS\system32\asjwvkf.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\lhstnbj.dll

C:\WINDOWS\system32\lhstnbj.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\sqjuaad.dll

C:\WINDOWS\system32\sqjuaad.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\sruusxm.dll

C:\WINDOWS\system32\sruusxm.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\wintuh32.dll

C:\WINDOWS\system32\wintuh32.dll Could not be deleted.

 

Attempting to delete C:\WINDOWS\system32\xfyasog.dll

C:\WINDOWS\system32\xfyasog.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\jpnicohr.exe

C:\WINDOWS\system32\jpnicohr.exe Has been deleted!

 

Attempting to delete C:\WINDOWS\system\ewbibn.dll

C:\WINDOWS\system\ewbibn.dll Could not be deleted.

 

Attempting to delete C:\WINDOWS\system\nbibwe.ini

C:\WINDOWS\system\nbibwe.ini Has been deleted!

 

Attempting to delete C:\WINDOWS\system\nbibwe.bak1

C:\WINDOWS\system\nbibwe.bak1 Has been deleted!

 

Attempting to delete C:\WINDOWS\system\nbibwe.bak2

C:\WINDOWS\system\nbibwe.bak2 Has been deleted!

 

Attempting to delete C:\WINDOWS\system\nbibwe.ini2

C:\WINDOWS\system\nbibwe.ini2 Has been deleted!

 

Attempting to delete C:\WINDOWS\system\nbibwe.tmp

C:\WINDOWS\system\nbibwe.tmp Has been deleted!

 

Performing Repairs to the registry.

Done!

 

Beginning removal...

 

Attempting to delete C:\WINDOWS\system32\wintuh32.dll

C:\WINDOWS\system32\wintuh32.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system\ewbibn.dll

C:\WINDOWS\system\ewbibn.dll Has been deleted!

 

Performing Repairs to the registry.

Done!

 

 

Logfile of HijackThis v1.99.1

Scan saved at 21:39:35, on 27/12/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Telecom Italia France\Securite Enfants\bin\optproxy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Documents and Settings\renaud\Bureau\hijackthis\Scanner.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 7\SnagItBHO.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {099D0986-C204-F967-3343-00A64FA96FB9} - C:\Documents and Settings\renaud\Local Settings\Application Data\vorenbj.dll

O2 - BHO: (no name) - {1868A450-F96E-A05B-FDEA-0ABA9563CF80} - C:\WINDOWS\system32\sqjuaad.dll (file missing)

O2 - BHO: (no name) - {188B7381-B2B2-7E63-98A8-001078AFDAFD} - C:\WINDOWS\system32\shnpglm.dll

O2 - BHO: (no name) - {1ED17011-46BA-474D-BA6A-3BECB6EE1DB2} - C:\WINDOWS\system\ewbibn.dll (file missing)

O2 - BHO: (no name) - {23E26EF9-12B1-8E3B-185C-078901D327DC} - C:\WINDOWS\system32\sruepml.dll

O2 - BHO: (no name) - {243A5983-67F7-1C4B-8E81-026B75BEBD6D} - C:\WINDOWS\system32\xfyasog.dll (file missing)

O2 - BHO: (no name) - {26B61245-2471-3859-3126-04487DAC7F8A} - C:\WINDOWS\system32\ipnydgh.dll

O2 - BHO: (no name) - {35F7813A-AF74-4474-B1DC-7EE6FB6C43C6} - C:\WINDOWS\system32\mboauuht.dll

O2 - BHO: (no name) - {3FD6B99C-A275-46ea-8FD1-3D63986E51E4} - C:\WINDOWS\system32\ewbfpkel.dll (file missing)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {5EF198B3-25AC-B0A8-38FF-00F31C1B9021} - C:\WINDOWS\system32\zjymtln.dll

O2 - BHO: (no name) - {5F8482AC-DAF0-5494-F020-0A90E3DA0CDC} - C:\WINDOWS\system32\mjyyobb.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {BF993D90-555B-403D-9928-3CE79C97DC0d} - C:\WINDOWS\system32\kbcyddvo.dll

O2 - BHO: (no name) - {C671A733-A4AA-4B5F-8CEE-006242C457B5} - C:\WINDOWS\system32\urqpmll.dll

O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 7\SnagItIEAddin.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [namxptj.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\namxptj.dll,ajvmkw

O4 - HKLM\..\Run: [mmjvho.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\mmjvho.dll,qofuvwf

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [vvdkkpe.dll] C:\WINDOWS\system32\rundll32.exe "C:\Documents and Settings\renaud\Local Settings\Application Data\vvdkkpe.dll",agkxvbc

O4 - HKLM\..\Run: [sruusxm.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\sruusxm.dll,nsrxhv

O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\system32\rtrwtmed.dll",setvm

O4 - Startup: .protected

O4 - Global Startup: .protected

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: hdvferrw - C:\WINDOWS\SYSTEM32\hdvferrw.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: urqpmll - C:\WINDOWS\SYSTEM32\urqpmll.dll

O21 - SSODL: cussers - {ff170564-36c8-43f7-9100-559e166405cf} - (no file)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Sécurité Enfants (OPTENET_FILTER) - Telecom Italia France - C:\Program Files\Telecom Italia France\Securite Enfants\bin\optproxy.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

 

encore une fois merci d'avance de ton aide

Partager ce message


Lien à poster
Partager sur d’autres sites

hello Bruce Lee,

 

j'ai quelques infos cmplémentaires sur la fenêtre qui s'affiche sans arrêt en plus du message avast.

 

le titre de la fenêtre est "System Integrity Scan Wizard" qui est elle même lancée par un processus visible dans le gestionnaire de tâches "Spyware Removal Wisard"

 

voilà les infos que l'ai réussi à glaner, j'espère que cela pourra t'aiguiller un peu plus.

 

merci @ +

Partager ce message


Lien à poster
Partager sur d’autres sites

un p'tit Bonjour de bon matin,

 

pour apporter un enouvelle précision, en redemarrant le PC ce matin, message d'anomalie précisant qu'il ne trouve pas c:\windows\system32\sruusxm.dll.

 

jusque là il a raison car elle a été supprimée hier par vundo. est-ce normal ?, quel est le remède pour ne plus avoir ce message au demarrage ?

 

voilà, voilà,

 

bonne journée...

Partager ce message


Lien à poster
Partager sur d’autres sites

bonjour JYR,

 

réexecute vundofix puis poste le rapport.

 

1/Télécharger http://siri.urz.free.fr/Fix/SmitfraudFix.zip

 

2/ Dézipper la totalité de l'archive sur ton bureau.

 

Double cliquer sur smitfraudfix.cmd

Sélectionner 1 dans le menu pour créer un rapport des fichiers responsables de l'infection.

sauvegarde ce rapport et poste le

Partager ce message


Lien à poster
Partager sur d’autres sites

Salut Bruce Lee,

 

j'ai effectué un nouveau passage de vundo et un passage de SmitFraud dont je joints les log respectives

 

VundoFix V6.2.13

 

Checking Java version...

 

Sun Java not detected

Scan started at 23:05:34 28/12/2006

 

Listing files found while scanning....

 

C:\WINDOWS\system32\sstts.dll

C:\WINDOWS\system32\sttss.ini

C:\WINDOWS\system32\sttss.bak1

C:\WINDOWS\system32\sttss.bak2

 

Beginning removal...

 

Attempting to delete C:\WINDOWS\system32\sstts.dll

C:\WINDOWS\system32\sstts.dll Could not be deleted.

 

Attempting to delete C:\WINDOWS\system32\sttss.ini

C:\WINDOWS\system32\sttss.ini Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\sttss.bak1

C:\WINDOWS\system32\sttss.bak1 Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\sttss.bak2

C:\WINDOWS\system32\sttss.bak2 Has been deleted!

 

Performing Repairs to the registry.

Done!

 

Beginning removal...

 

Attempting to delete C:\WINDOWS\system32\sstts.dll

C:\WINDOWS\system32\sstts.dll Has been deleted!

 

Performing Repairs to the registry.

Done!

 

 

SmitFraudFix v2.131

 

Rapport fait à 23:23:49,62, 28/12/2006

Executé à partir de C:\Documents and Settings\renaud\Bureau\Smitfraud\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

C:\WINDOWS\.protected PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\renaud

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\renaud\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

C:\DOCUME~1\renaud\MENUDM~1\PROGRA~1\DMARRA~1\.protected PRESENT !

C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\.protected PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\renaud\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="http://codelyoko.fr/images/cltp/wallmini.jpg"'>http://codelyoko.fr/images/cltp/wallmini.jpg"

"SubscribedURL"="http://codelyoko.fr/images/cltp/wallmini.jpg"

"FriendlyName"=""

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{ff170564-36c8-43f7-9100-559e166405cf}"="cussers"

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

merci pour tes expertises.

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour Bruce Lee,

 

je te transmets le rapport Hijack

 

Logfile of HijackThis v1.99.1

Scan saved at 19:02:47, on 29/12/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Telecom Italia France\Securite Enfants\bin\optproxy.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\setup\avast.setup

C:\Documents and Settings\renaud\Bureau\hijackthis\Scanner.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 7\SnagItBHO.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {099D0986-C204-F967-3343-00A64FA96FB9} - C:\Documents and Settings\renaud\Local Settings\Application Data\vorenbj.dll

O2 - BHO: (no name) - {1868A450-F96E-A05B-FDEA-0ABA9563CF80} - C:\WINDOWS\system32\sqjuaad.dll (file missing)

O2 - BHO: (no name) - {188B7381-B2B2-7E63-98A8-001078AFDAFD} - C:\WINDOWS\system32\shnpglm.dll

O2 - BHO: (no name) - {1ED17011-46BA-474D-BA6A-3BECB6EE1DB2} - C:\WINDOWS\system\ewbibn.dll (file missing)

O2 - BHO: (no name) - {23E26EF9-12B1-8E3B-185C-078901D327DC} - C:\WINDOWS\system32\sruepml.dll

O2 - BHO: (no name) - {243A5983-67F7-1C4B-8E81-026B75BEBD6D} - C:\WINDOWS\system32\xfyasog.dll (file missing)

O2 - BHO: (no name) - {26B61245-2471-3859-3126-04487DAC7F8A} - C:\WINDOWS\system32\ipnydgh.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {5EF198B3-25AC-B0A8-38FF-00F31C1B9021} - C:\WINDOWS\system32\zjymtln.dll

O2 - BHO: (no name) - {5F8482AC-DAF0-5494-F020-0A90E3DA0CDC} - C:\WINDOWS\system32\mjyyobb.dll

O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - C:\WINDOWS\system32\vxwullai.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {BF993D90-555B-403D-9928-3CE79C97DC0d} - C:\WINDOWS\system32\kbcyddvo.dll

O2 - BHO: (no name) - {D7B39FE1-659E-4F15-B983-A3951418A6A7} - C:\WINDOWS\system32\sstts.dll (file missing)

O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 7\SnagItIEAddin.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [namxptj.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\namxptj.dll,ajvmkw

O4 - HKLM\..\Run: [mmjvho.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\mmjvho.dll,qofuvwf

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [vvdkkpe.dll] C:\WINDOWS\system32\rundll32.exe "C:\Documents and Settings\renaud\Local Settings\Application Data\vvdkkpe.dll",agkxvbc

O4 - HKLM\..\Run: [sruusxm.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\sruusxm.dll,nsrxhv

O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\system32\rtrwtmed.dll",setvm

O4 - Startup: .protected

O4 - Global Startup: .protected

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: hdvferrw - C:\WINDOWS\SYSTEM32\hdvferrw.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O21 - SSODL: cussers - {ff170564-36c8-43f7-9100-559e166405cf} - (no file)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Sécurité Enfants (OPTENET_FILTER) - Telecom Italia France - C:\Program Files\Telecom Italia France\Securite Enfants\bin\optproxy.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

 

merci, @ +

Partager ce message


Lien à poster
Partager sur d’autres sites

re,

 

Si durant la procédure ci-dessous, il y a des étapes que tu n'as pas reussi a faire, merci de continuer la procédure jusqu'au bout et de les signaler dans ta prochaine reponse.

 

 

1/Télécharge puis installe http://www.ewido.net/en/download

Une fois AVG AS lancé, clique sur Mise à jour

Ferme le programme.

 

 

 

2/Démarre en mode sans échec http://www.sosordi.net/Faq/Faq.2.html

 

3/ * Double cliquer sur smitfraudfix.cmd

* Sélectionner 2 dans le menu pour supprimer les fichiers respondables de l'infection.

* A la question: Voulez-vous nettoyer le registre ? répondre O (oui)

sauvegarde le rapport.

 

 

4/lance hijackthis en cliquant sur do a scan system only et coche ces lignes si présentes:

 

O2 - BHO: (no name) - {1868A450-F96E-A05B-FDEA-0ABA9563CF80} - C:\WINDOWS\system32\sqjuaad.dll (file missing)

O2 - BHO: (no name) - {188B7381-B2B2-7E63-98A8-001078AFDAFD} - C:\WINDOWS\system32\shnpglm.dll

O2 - BHO: (no name) - {1ED17011-46BA-474D-BA6A-3BECB6EE1DB2} - C:\WINDOWS\system\ewbibn.dll (file missing)

O2 - BHO: (no name) - {23E26EF9-12B1-8E3B-185C-078901D327DC} - C:\WINDOWS\system32\sruepml.dll

O2 - BHO: (no name) - {243A5983-67F7-1C4B-8E81-026B75BEBD6D} - C:\WINDOWS\system32\xfyasog.dll (file missing)

O2 - BHO: (no name) - {26B61245-2471-3859-3126-04487DAC7F8A} - C:\WINDOWS\system32\ipnydgh.dll

O2 - BHO: (no name) - {5EF198B3-25AC-B0A8-38FF-00F31C1B9021} - C:\WINDOWS\system32\zjymtln.dll

O2 - BHO: (no name) - {5F8482AC-DAF0-5494-F020-0A90E3DA0CDC} - C:\WINDOWS\system32\mjyyobb.dll

O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - C:\WINDOWS\system32\vxwullai.dll

O2 - BHO: (no name) - {BF993D90-555B-403D-9928-3CE79C97DC0d} - C:\WINDOWS\system32\kbcyddvo.dll

O2 - BHO: (no name) - {D7B39FE1-659E-4F15-B983-A3951418A6A7} - C:\WINDOWS\system32\sstts.dll (file missing)

O4 - HKLM\..\Run: [namxptj.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\namxptj.dll,ajvmkw

O4 - HKLM\..\Run: [mmjvho.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\mmjvho.dll,qofuvwf

O4 - HKLM\..\Run: [vvdkkpe.dll] C:\WINDOWS\system32\rundll32.exe "C:\Documents and Settings\renaud\Local Settings\Application Data\vvdkkpe.dll",agkxvbc

O4 - HKLM\..\Run: [sruusxm.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\sruusxm.dll,nsrxhv

O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\system32\rtrwtmed.dll",setvm

O20 - Winlogon Notify: hdvferrw - C:\WINDOWS\SYSTEM32\hdvferrw.dll

O21 - SSODL: cussers - {ff170564-36c8-43f7-9100-559e166405cf} - (no file)

 

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked

 

 

5/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

 

Décocher la case : Masquer les extensions des fichiers dont le type est connu

 

Décocher la case : Masquer les fichiers protégés du système d'exploitation

 

cliquer sur "Appliquer"

 

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

6/Supprime ce qui est en gras:

 

C:\WINDOWS\system32\ shnpglm.dll<== le fichier

C:\WINDOWS\system32\ sruepml.dll<== le fichier

C:\WINDOWS\system32\ ipnydgh.dll<== le fichier

C:\WINDOWS\system32\ zjymtln.dll<== le fichier

C:\WINDOWS\system32\ mjyyobb.dll<== le fichier

C:\WINDOWS\system32\ vxwullai.dll<== le fichier

C:\WINDOWS\system32\ kbcyddvo.dll<== le fichier

C:\WINDOWS\system32\ namxptj.dll<== le fichier

C:\WINDOWS\system32\ mmjvho.dll<== le fichier

C:\Documents and Settings\renaud\Local Settings\Application Data\ vvdkkpe.dll<== le fichier

C:\WINDOWS\system32\ sruusxm.dll<== le fichier

C:\WINDOWS\system32\ rtrwtmed.dll<== le fichier

C:\WINDOWS\SYSTEM32\ hdvferrw.dll<== le fichier

 

 

7/ Relance AVG AS puis choisis l'onglet Analyse

Puis l'onglet Paramètres

Sous la question Comment réagir ?, clique sur Actions recommandées et choisis Quarantaine

Reclique sur l'onglet Analyse puis réalise une Analyse complète du système

 

Si un fichier infecté est détecté en fin d'analyse

Clique sur Appliquer toutes les actions

 

Clique sur Enregistrer le rapport puis sur Enregistrer le rapport sous

Enregistre ce fichier texte sur ton bureau

 

 

8/Redémarre en mode normal

 

9/Poste le rapport d'AVG Anti spyware 7.5 ainsi qu'un nouveau log Hijackthis et efin le rapport de smitfraudfix option 2

 

Bon courage, et si tu as la moindre question n'hésite surtout pas :P

 

@+

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×